防护篇(5.4) 03. 防范 DDoS 攻击 ❀ 飞塔 (Fortinet) 防火墙

        【简介】分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。飞塔防火墙可以阻止这类的攻击。

---

  什么是 DDoS 攻击

        一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢？（只为举例，切勿模仿）恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入；或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户；也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，最终跑了真正的大客户，损失惨重。此外恶霸们完成这些坏事有时凭单干难以完成，需要叫上很多人一起。嗯，网络安全领域中DoS和DDoS攻击就遵循着这些思路。

        在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DoS（Denial of Service），即拒绝服务攻击，针对的目标正是“可用性”。该攻击方式利用目标系统网络服务功能缺陷或者直接消耗其系统资源，使得该目标系统无法提供正常的服务。

        DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项指标不高的性能，它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了，目标对恶意攻击包的"消化能力"加强了不少。这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。DDoS就是利用更多的傀儡机（肉鸡）来发起进攻，以比从前更大的规模来进攻受害者。

        DDoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。 这种攻击方式可分为以下几种：
        A、通过使网络过载来干扰甚至阻断正常的网络通讯；
        B、通过向服务器提交大量请求，使服务器超负荷；
        C、阻断某一用户访问服务器；
        D、阻断某服务与特定系统或个人的通讯。

        分布式拒绝服务攻击采取的攻击手段就是分布式的，在攻击的模式改变了传统的点对点的攻击模式，使攻击方式出现了没有规律的情况，而且在进行攻击的时候，通常使用的也是常见的协议和服务，这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候，攻击数据包都是经过伪装的，在源IP 地址上也是进行伪造的，这样就很难对攻击进行地址的确定，在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。

  DDoS 攻击 - 测试环境

       为了能更好的了解飞塔火墙的 DDoS 防护功能，我们先搭建一个直实的网络环境。

        ① 这是一个典型的企业网络结构，我们把Web服务器映射到外网。然后从外网对Web服务器进行DDoS攻击。

　　① 大多数中小企业还用是ADSL拨号宽带，由于ADSL拨号宽带每次上网时所获取的IP地址都不同，这里利用飞塔防火墙的DDNS功能，建立一个域名，以后不管IP地址怎么办，访问DDNS的域名就可以了。

　　② 建立一个虚拟IP，映射一台Web服务器到外网。因为Wan1是ADSL拨号宽带，每次获取的外网IP地址都不同，这里外部IP地址就填写默认地址0.0.0.0，通常运营商会封闭80和8080端口，因此Web服务器映射到外网时更换了于个自定义的8088端口。

        ③ 建立策略，允许外网访问映射的Web服务器。这样Web服务器就映射好了。

        ④ 在外网利用域名加端口号，就可以打开Web服务器上的网页了。

  DDoS 攻击 - 测试工具

        为了达到模似攻击的效果，我们还需要一款攻击工具，那就是LOIC。LOIC（低轨道离子炮）是一个开源的网站压力测试和抗拒绝服务测试工具，由C#语言开发。最初LOIC由Praetox科技开发，目前由开源社区维护。LOIC可以通过TCP或UDP洪水的方式形成拒绝服务攻击(DoS)，因而可能打断业务正常运行，安全和测试人员在做评估网站压力测试时，请谨慎使用。

        ① 百度搜索【LOIC】，第一条就是开源网站，下载方法就不介绍了。

        ② 得到的文件很小，只有133K的一个执行文件。

        ③ 启动后可以看到界面很简单。

  DDoS 攻击 - 查看工具

        为了能够直观的看到服务器是否受到大流量的攻击访问，我们可以打开接口历史，用图形的方式查看接口的流量变化。

        ① 选择菜单【仪表板】，在窗口的右下角会有两个浮动按钮，点击【添加微件】。

        ② 弹出子窗口中选择【接口历史】。

        ③ 默认显示的接口是Wan1接口，如果这不是你想要的接口，点击接口历史小窗口的铅笔图标。

        ④ 因为只是测试，把Web服务器接到Wan2口上了（实际操作应该接DMZ口）。这里选择接了Web服务器的接口。

        ⑤ 通过对查看防火墙连接Web服务器接口的上下行流量，我们可以间接的了解Web服务器的访问攻击情况。

  DDoS 攻击 - 查看效果

        所有准备工作都完成了，下面开始攻击了。

        ① 在URL输入需要攻击的Web服务器域名，点击Lock on，会自动显示该域名的IP地址，端口号输入8088，方法有三个选项，分别是TCP、UDT和HTTP。这里进程默认是10，进程数可以调整大小，用来为模拟攻击强度。

        ② 首先我们进行HTTP攻击，会模似网页浏览整个过程，动作包括：Connecting（连接）、Downloading（下载）。累计下载总数和请求总数。

        ③ 在接口历史上可以看到下行流量加大。Web服务器在发送数据。

        ④ 把攻击方法改为TCP再进行攻击，我们会发现只有累计请求总数，如果进程加大，请求数会越来越大。

        ⑤ 和HTTP攻击不同的是，TCP和UDP攻击，接口的上行流量很大。

  DDoS 攻击 - 防火墙阻止

        飞塔防火墙针对DDoS攻击有专门的防护措施。

        ① 选择菜单【系统管理】-【功能选择】，在〖额外功能〗里找到并启用〖DoS策略〗，点击【应用】。

        ② 选择菜单【策略对象】，可以看到除了我们常用的〖IPv4策略〗外，还多出一个〖IPv4 DoS策略〗，这两组策略是独立的，需要分别设置的。点击【新建】。

        ③ 流入接口指的是对哪个外网口进行的攻击，如果知道对方的攻击IP地址话，可以在源地址里指定，如果不知道（大多数情况是不知道的），就选择ALL，目地地址是指被攻击的哪个外网IP地址（很多情况下一条宽带有多个IP地址），当然也可以是选ALL。如果知道哪个外网IP被攻击，就指定IP地址。服务也是一样。防火墙对很多参数进行监控。为了了解有哪些攻击，我们可以打开状态和日志，因为我们是小流量的攻击测试，这里我们把所有的阈值都改得很小。

        ④ 在没有启动IPv4 DoS策略的时候，我们在日志菜单看到的是这样的。

        ⑤ 启动了IPv4 DoS策略后，当某类数值超过了预设的阈值后，就会在日志中记录下来。点击【日志与报常】-【异常】就可以看到，可以看到这里的动作都是detected，也就是检测到异常（超过阈值）。

          【提示】 如果菜单上看不到异常选项，需要退出并再次登录。

  DDoS 攻击 - 分析与阻止

        现在可以监测到具体的攻击数值了，那么就要分析有哪些攻击以及阈值适合的值，即可以阻止继续攻击，又可以保证Web服务器正常。

        ① 从异常日志可以看到，攻击类型为ip_src_session等这几项，可以调整这几项的阈值，并将动作设为阻断。它们的作用是，当计算到单位时间内这几项的值超过阈值，就对这个操作进行阻断。阈值的大小需要进行适当的调整。

        ② 再次查看异常日志，可以看到动作已经变成clear_session（清除会话）了。针对Web服务器的攻击会相应减少。

          【提示】经过测试，多台电脑的LOIC攻击效果会成倍增加。实际攻击的值会比这个大很多，这里只是抛砖引玉，了解防护的办法。具体阈值还需要看具体环境。

飞塔技术-老梅子   QQ：57389522

---